L’attacco contro i server VMware ESXi non è ancora terminato. In base agli ultimi dati sono stati colpite oltre 3.000 organizzazioni nel mondo. La CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha rilasciato uno script per ripristinare le macchine virtuali, ma i cybercriminali hanno aggiornato il ransomware ESXiArgs rendendolo praticamente inutile.
Nuova versione di ESXiArgs
Il ransomware sfrutta una vecchia vulnerabilità del servizio OpenSLP di VMware ESXi (che l’azienda californiana consiglia di disattivare). Lo script encrypt.sh
usato per la cifratura cerca i file con estensione .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem. Per ognuno di essi verifica la dimensione. Quelli più piccoli di 128 MB vengono cifrati completamente, mentre a quelli più grandi viene applicata la crittografia alternata (o a intermittenza). Ad esempio, per i file da 4,5 GB vengono cifrati i dati ogni 45 MB.
Questa tecnica lascia diverse parti non cifrate, quindi alcuni ricercatori hanno trovato un modo per ripristinare le macchine virtuali dai file flat.vmdk. La CISA ha rilasciato uno script che automatizza la procedura.
Sfortunatamente alcune vittime hanno segnalato che lo script non funziona. I cybercriminali hanno aggiornato il ransomware, cambiando la routine di cifratura. Adesso viene cifrato il 50% dei dati per i file più grandi di 128 MB. Ciò impedisce di ripristinare le macchine virtuali dai file flat.vmdk.
Con la seconda versione di ESXiArgs è stato inoltre rimosso l’indirizzo Bitcoin dal file di testo che contiene le istruzioni per il pagamento del riscatto (circa 2 Bitcoin). Ora è necessario contattare i cybercriminali tramite Tox. Infine, alcuni amministratori IT hanno comunicato che la nuova versione riesce a cifrare i file anche se il servizio OpenSLP è disattivato. Non è noto se viene sfruttata un’altra vulnerabilità.